Verbraucherrecht
14.04.2025
Die elektronische Patientenakte (ePA) im Überblick
Die elektronische Patientenakte (ePA) steht seit dem 15. Januar 2025 allen gesetzlich Versicherten zur Verfügung. Am besten lässt sich das digitale Dokument mit der ePA-App bedienen und aktiv verwalten. Verbraucher*innen, die das nicht möchten, haben es schwer, ihre Rechte wahrzunehmen. Lesen Sie hier alle wichtigen Informationen zum Thema und auch, wie sich die ePA ohne App nutzen lässt.
© Andrea Gaitanides - stock.adobe.comIn ihrer persönlichen ePA haben die Versicherten die Möglichkeit, die bislang an den verschiedenen Orten vorliegenden Dokumente zu Behandlungen, Therapien, Anamnesen oder Befunde an einer Stelle digital zusammenzuführen, zu verwalten und für Behandlungen verfügbar zu machen. Aber auch Ärzte, Krankenhäuser, Physiotherapeuten und andere medizinische Einrichtungen können Unterlagen in diesem digitalen, lebenslangen Aktenordner stellen, sofern dem nicht widersprochen wurde. Dies ersetzt jedoch nicht die Primärdokumentation in der Arztpraxis oder im Krankenhaus. Privat Versicherte können die ePA nutzen, sobald ihre private Krankenversicherung die Möglichkeit dazu bietet, es gibt aber keine Verpflichtung dazu.
Opt-Out Verfahren – Widerspruch nötig
Die ePA wird für alle gesetzlich Versicherten automatisch von den Krankenkassen bereitgestellt, auch für gesetzlich versicherte Kinder und Jugendliche. Bis zum 15. Lebensjahr entscheiden und verwalten die sorgeberechtigten Eltern. Wer sie nicht nutzen möchte oder Bedenken wegen der Datensicherheit hat, muss selbst aktiv werden und konnte bereits dem Anlegen der ePA widersprechen. Der Widerspruch ist auch zu jedem späteren Zeitpunkt möglich und darf keine negativen Auswirkungen auf die Gesundheitsversorgung haben. Widerspruch erfolgt online, schriftlich oder auch telefonisch bei der eigenen Krankenkasse. Manche bieten dazu eigene Formulare für den Widerspruch oder eine Onlineseite dafür an. Wurde der Widerspruch vor dem Anlegen erklärt, wird die Akte gar nicht erstellt. Erfolgt der Widerspruch nach dem Bereitstellen, wird die ePA mit den darin enthaltenen Daten wieder gelöscht. Widersprüche können bei der Krankenkasse jederzeit wieder rückgängig gemacht werden. Es wird dann wieder eine ePA angelegt.
Vorteile der ePA: Absprache erleichtern, Doppeluntersuchung vermeiden
Alle wichtigen Gesundheitsdaten lassen sich in der ePA dauerhaft speichern und sind jederzeit einsehbar. Dies erleichtert den Austausch von medizinischen Dokumenten zwischen Arztpraxen, Apotheken, Kliniken und den Patienten, denn die Unterlagen müssen nicht langwierig angefordert werden. Überweist zum Beispiel ein Hausarzt einen Versicherten an einen Facharzt, so kann dieser, wenn der Versicherte vorher einwilligt, die Berichte des Hausarztes einsehen und auch seinen Bericht dort hochladen. Die Absprachen von Behandlungen zwischen den unterschiedlichen Ärzten sollen verbessert und unnötige Doppeluntersuchungen vermieden werden, zum Beispiel bei Röntgenuntersuchungen. Im Notfall liegen alle wichtigen Informationen gesammelt und schnell vor. Auch ärztliche Zweitmeinungen lassen sich einfacher einholen, der Arztwechsel wird generell einfacher. Bei einem Krankenhausaufenthalt liegen die Gesundheitsdaten vor, falls nicht widersprochen wurde.
Nachteile der ePA: Digitale Speicherung, Datenmissbrauch, technische Voraussetzungen
Die Sicherheit der Daten ist der Hauptkritikpunkt bei der ePA, da persönliche Gesundheitsdaten digital gespeichert werden. Trotz grundsätzlich hohen Sicherheitsniveaus, besteht immer ein gewisses Risiko des Datenmissbrauchs. Zur Nutzung der ePA ist eine stabile technische Infrastruktur erforderlich. Langsame Internetverbindungen, technische Störungen oder Systemausfälle können den Zugang zur Patientenakte erschweren, zudem könnten die Gesundheitsdaten so in falsche Hände geraten.
Wer über kein eigenes Endgerät verfügt, hat auch keinen eigenständigen Zugriff und Einblick in seine ePA und ist auf Hilfe Dritter angewiesen. Außerdem sind nicht alle Nutzer hinreichend technisch versiert, die ePA effektiv zu nutzen.
Zugriffsmanagement eingeschränkt
Es ist -anders als ursprünglich geplant – nicht möglich, einzelne Dokumente nur für bestimmte Arztpraxen sichtbar zu schalten. Entweder sind sie für alle sichtbar, die Zugriff auf die ePA haben, oder nur für die Verbraucher*innen selbst.
Informationen zu vorliegenden Erkrankungen sind an verschiedenen Orten in der ePA gespeichert, zum Beispiel im Arztbrief, in den Abrechnungsdaten, in der Medikationsliste. Wenn besonders sensible Daten mit einer bestimmten Arztpraxis nicht geteilt werden sollen, ist das an allen relevanten Orten einzustellen. Alternativ können Verbraucher*innen einer bestimmen Arztpraxis den Zugriff auf die ePA auch komplett verweigern.
Nutzung der ePA auch ohne Smartphone und Tablet
Die elektronische Patientenakte ist auf die Nutzung mit digitalen Endgeräten ausgelegt, ohne die dazugehörige ePA-App ist die Nutzung nur passiv möglich. Es lassen sich keine Daten einsehen, hochladen oder verwalten. Widersprüche sind über die Ombudsstelle der Krankenkasse zu erklären. Krankenhäuser und Ärzte sowie autorisierte Leistungserbringer befüllen die ePA aber automatisch und können im Behandlungsfall darauf zugreifen. Ärzte haben mit dem Einlesen der Gesundheitskarte für 90 Tage Zugriff auf die ePA, nur über die App oder Ombudsstelle lässt sich dies beschränken. Ab Sommer 2025 soll es auch möglich sein, über einen Desktop-Client die ePA am PC zu nutzen.
Vertreter bestimmen
Alternativ kann ein Vertreter bestimmt werden, dieser hat die gleichen Zugriffsrechte, wie bei der ePA-App. Vertreter dürfen jedoch die ePA nicht löschen und keine weiteren Vertreter benennen oder widerrufen. In der ePA lassen sich bis zu fünf Personen festlegen, die Ihre Anliegen vertreten. Diese müssen selbst bei ihrer Krankenkasse einen Zugriff zur ePA-App haben. Vertreter brauchen zwar nicht selbst eine ePA führen, sie müssen aber gesetzlich versichert sein und sich für die ePA registriert haben. Diese Personen haben dann alle Rechte. Sie haben die Möglichkeit, Zugriffsbefugnisse zu erteilen oder zu entziehen, Dokumente zu verwalten (hochladen, verbergen, löschen) und Protokolle einzusehen, um zu erkennen, wer Zugriff auf die ePA genommen hat.
Die Benennung eines Vertreters setzt voraus, dass dieser Person uneingeschränkt vertraut wird. Vertretungsbefugnisse lassen sich nicht beschränken, sondern nur insgesamt entziehen. Eine Befristung ist nicht möglich, ebenso wenig kann die Vertretung an Bedingungen geknüpft werden. Die Vertretung lässt sich nur über die ePA-App entziehen, nicht über die Ombudsstelle.
Ombudsstellen der Krankenkassen
Wer selbst nicht in der Lage ist, die ePA zu verwalten, kann sich an die Ombudsstellen der Krankenkassen bei allen Fragen und Problemen rund um die Nutzung der ePA wenden. Die Ombudsstellen nehmen Widersprüche, Anträge zur Löschung der gesamten ePA entgegen auch nur bei Teilbereichen, z.B. der Medikationsliste, oder unterbinden, dass die Krankenkasse Abrechnungsdaten einstellt und/oder Sie auf der Grundlage dieser Abrechnungsdaten über persönliche Gesundheitsrisiken informiert oder Ihre Daten an das Forschungsdatenzentrum überträgt. Von der Ombudsstelle lässt sich zudem ein Protokoll darüber erhalten, wer Daten eingestellt und wer auf Daten zugegriffen hat. Alle Krankenkassen müssen perspektivisch Ombudsstellen einrichten.
Datenschutz – wie sicher ist die ePA?
In der ePA sind persönliche, sensible Gesundheitsdaten gespeichert, diese gilt es besonders zu schützen, um Missbrauch und Diskriminierung zu verhindern. Die von der Gematik =Gesellschaft für Telematikanwendungen) und dem Bundesministerium für Sicherheit in der Informationstechnik vorgegebenen Sicherheitsstandards sind hoch, allerdings gibt es Bedenken hinsichtlich möglicher Schwachstellen.
Im Dezember 2024 entdeckte der Chaos Computer Club Lücken, Angreifern war es möglich mit gefälschten Praxisnachweisen oder gefälschten Gesundheitskarten auf Gesundheitsdaten zuzugreifen. Daraufhin reagierte die Gematik mit einer Stellungnahme, dass mit zusätzlichen Sicherheitsmaßnahmen die Schwachstellen behoben werden. Maßnahmen hinsichtlich Verschlüsselung, Zugangskontrollen und verstärkte Überwachungssysteme, sowie eine intensivere Schulung der Nutzer sind die Reaktion.
Der Verbraucherzentrale Bundesverband hat sich deshalb in einem offenen Brief an das Bundesgesundheitsministerium gewandt und gefordert, dass die bundesweite Einführung der ePA erst umgesetzt werden darf, wenn alle Schwachstellen behoben sind.
Das Sicherheitskonzept
Die Daten der ePA sind zentral auf Servern in Deutschland gespeichert und verschlüsselt. Die Server unterliegen den europäischen Datenschutzbestimmungen. Jeder Datenverarbeitungsschritt wird in einem nochmals abgesicherten Bereich, der so genannten Vertrauenswürdigen Ausführungsumgebung (VAU), ausgeführt. Zudem müssen alle ePA-Apps ein Zulassungsverfahren der Gematik durchlaufen. Über die Telematikinfrastruktur erfolgt der Zugriff auf die ePA, es ist ein sicheres, in sich geschlossenes Netz, indem nur die berechtigen Leistungserbringer und die Versicherten zugreifen können. In der ePA sind alle Aktivitäten für drei Jahre protokolliert.
Trotz hoher Sicherheitsvorkehrungen ist keine IT-Infrastruktur absolut vor Angriffen geschützt. Ein Cyberangriff lässt sich nie vollständig ausschließen. Alle Beteiligte müssen sehr sorgfältig mit den Gesundheitsdaten umgehen, Arztpraxen und Krankenhäuser müssen dafür sorgen, dass bei der eigenen EDV alle Sicherheitsstandards eingehalten werden und auch der Versicherte selbst sollte regelmäßig Sicherheitsupdates auf dem eigenen Endgerät durchführen.
So funktioniert die Aktivierung der ePA-App
Gesetzlich Versicherte können sich die ePA-App ihrer Krankenkasse in einem App Store herunterladen und auf einem mobilen Endgerät, wie einem Smartphone oder einem Tablet nutzen. Für den Laptop oder PC ist ein ePA-Client erforderlich, dieser ist erst ab Mitte Juli 2025 verfügbar, zudem ist ein Kartenlesegerät ab Sicherheitsklasse 2 mit eigener Tastatur erforderlich. Zusätzlich wird die elektronische Gesundheitskarte (eGK) und eine dazugehörige PIN benötigt, diese beantragen Verbraucher*innen bei der Krankenkasse. Zunächst muss die ePA-App frei geschaltet werden, dafür gilt es, ein Identifikations- und Anmeldeverfahren zu durchlaufen. Die genauen Schritte können je nach Krankenkasse unterschiedlich sein. Dieses Verfahren ist nicht ganz einfach, ist aber nötig, um die Sicherheitsstandards zu gewährleisten.
Nach diesen Schritten hat der Versicherte beim nächstfolgenden Arztbesuch die Möglichkeit, seiner Arztpraxis die persönlichen Zugriffsrechte auf seine ePA zu erteilen, woraufhin der Arzt dann seine Dokumente in die ePA einstellen kann.
Welche Funktionen bietet die App?
Über die App können die Dokumente in die ePA hoch- oder runtergeladen, gelesen, verborgen oder gelöscht werden. Widersprüche lassen sich erteilen oder widerrufen, z. B. für die Zugriffsberechtigung einzelner Leistungserbringer oder die Datenfreigabe zu Forschungszwecken.
Zugriffsberechtigungen und -dauer lassen sich festlegen, Vertreter bestimmen oder Vertretungen wieder entziehen. Die ePA für eine andere Person verwalten, wenn eine Berechtigung dazu vorliegt. Protokolldaten einsehen oder die Nutzung der ePA beenden und alle Daten löschen.
Welche Daten werden gespeichert
Ärzte sind verpflichtet folgende Dokumente einzustellen:
E-Medikationsplan, Labor- und Bildbefunde, wie Röntgen-, CT- oder MRT-Bilder, Behandlungsbefunde, e-Arztbriefe, e-Entlassbriefe von Krankenhäusern, Daten zur Prüfung der Arzneimittelsicherheit. Versicherte müssen über die Datenspeicherung informiert werden.
Wunschdaten:
Auf Wunsch der Versicherten müssen die Leistungserbringer auch Daten wie, z.B. zur eAU- Bescheinigung, Organspende, Vorsorgevollmacht und Patientenverfügung, e-Behandlungs-dokumentation von Ärzten oder Psychotherapeuten in die ePA einspeichern. Das Einpflegen solcher Wunschdaten wird zum Start technisch allerdings noch nicht möglich sein.
Eigene Dokumente:
Ältere medizinische Unterlagen können Verbraucher*innen selbst in die Akte hochladen, auch Daten von Smartwatches, Gesundheits- oder Schmerztagebücher und von Gesundheits-Apps.
Abrechnungsdaten der Krankenkasse:
Dazu gehören unter anderem Diagnosecodes
Ergebnisse genetischer Untersuchungen:
Die Speicherung ist nur nach ausdrücklicher schriftlicher oder elektronischer Einwilligung zulässig.
Zukünftig kann gespeichert werden:
e- Medikationsplan, e-Impfpass, e- Zahnbonusheft, e- Untersuchungsheft für Kinder, e-Mutterpass.
Die Krankenkasse kann zweimal innerhalb von 24 Monaten bis zu zehn ältere Dokumente digitalisieren. Arztpraxen sind nicht verpflichtet, alte Arztbriefe oder Befunde in die ePA einzutragen.
Gelöscht wird die ePA zwölf Monate nachdem die Krankenkasse vom Tod erfahren hat.
Wer darf auf die ePA zugreifen?
Wichtig: Nur die Versicherten selbst haben die Möglichkeit, die ePA einzusehen und auch Inhalte einzufügen oder zu löschen. Nur die Versicherten selbst entscheiden, wer außer ihnen auf die ePA zugreifen darf. Eine Berechtigung für einen Arzt lässt sich jederzeit widerrufen oder zeitlich begrenzen. Es lassen sich jederzeit Daten löschen oder auch die gesamte ePA. Krankenkassen haben keinen Zugriff. Welche Leistungserbringer die Akte einsehen, lesen und Daten einspeichern dürfen, ist gesetzlich geregelt. Für Arztpraxen und Kliniken ist der Zugriff nur erlaubt, wenn er für die Behandlung notwendig ist. Zudem muss protokolliert werden, wer, wann auf die Daten zugegriffen hat. Sie können 90 Tage zugreifen, Apotheken drei Tage ab Rezepteinlösung.
Widerspruchsrechte bei der ePA
Widerspruch lässt sich direkt über die ePA-APP oder die Ombudsstelle der Krankenkasse einlegen: bei Zugriffsrechten, beim Einstellen von Dokumenten in bestimmten Behandlungs-situationen, Abrechnungsdaten der Krankenkasse, Weitergabe von Gesundheitsdaten zu Forschungszwecken.
Freiwillige Datenspende zu gemeinwohlorientierten Zwecken
Um die Gesundheitsversorgung zu verbessern, können ab 15. Juli 2025 die Gesundheitsdaten aus der ePA für gemeinwohlorientierte Forschungszwecke genutzt und an das Forschungsdatenzentrum weitergegeben werden. Was gemeinwohlorientierte Zwecke sind und wer die Daten nutzen darf, ist gesetzlich festgelegt. Die Daten werden bei der Weitergabe pseudonymisiert und automatisch ausgewählt. Ein Widerspruch gegen die freiwillige Datenspende ist ab 15. Juli in der ePA-App oder die Ombudsstelle der Krankenkasse möglich.
Fazit
Die ePA ist der große Baustein, um die gesundheitliche Versorgung zu verbessern. Dafür ist es sehr wichtig, dass der Patient bei der ePA mitwirken und dem System vertrauen kann. Deshalb muss die Datensicherheit regelmäßig überprüft, neue technische Schutzmaßnahmen umgesetzt und mögliche Sicherheitslücken schnell erkannt und behoben werden. Der VerbraucherService Bayern begrüßt die ePA grundsätzlich, um die Patientenversorgung zu verbessern, erachtet aber gleichzeitig die Einhaltung des Datenschutzes als immens wichtig.
Quellen:
https://www.verbraucherservice-bayern.de/suche?searchtext=Digitalisierung+im+Gesundheitswesen